[gelöst] Defender Offline benötigt BitLocker Key um C: zu entsperren

Status
Dieses Thema wurde gelöst! Lösung ansehen…

Miine

gehört zum Inventar
das ist natürlich nicht "schön" - insbesondere in meinem Fall wo die Tastatur meistens am Surface Pro via Bluetooth verbunden ist und somit dann die Bildschirmtastatur verwendet werden muss...

Ich hatte das schon einmal - löste sich aber auf "magische" Weise nach einem Windows-Update.

Leider haben die letzten Funktionsupdates dahingehend aber nichts bewirkt.

Gibt es eine Möglichkeit "von Hand" den Windows Defender Offline den Key beizubringen? Das Booten in das "normale" Windows funktioniert ohne Probleme - d.h. C Laufwerk wird automatisch freigeschaltet...

Bei Microsoft habe ich leider nichts gefunden.

Bevor ich es vergesse: der Status des Defender Offline Scans soll einem angeblich im normalen Windows via Notification angezeigt werden. Passiert ebenfalls nicht...
 
Anzeige

Jürgen

Moderator
Teammitglied
Meinst Du diesen Thread?

 

.Bernd

gehört zum Inventar
Windows Defender Offline geht mit Bitlocker nicht, Bitlocker muss vorher deaktiviert werden. Steht aber auch so in jeder MS Dokumentaion und sonstigen Nachfrage. Also hat sich diese Thematik doch schon erschöpft. Das ist doch der Zweck von Bitlocker, dass sonstige Boot-Möglichkeiten nicht auf die Daten zugreifen können :rolleyes:

Wenn Windows Defender Offline direkt auf einen infizierten PC heruntergeladen wird, dann wird das System direkt nach dem Download in den Recovery-Modus wechseln und Windows Defender Offline ausführen. In jedem Fall muss dabei aber die Laufwerksverschlüsselung per BitLocker deaktiviert werden.
https://www.reddit.com/r/Windows10/comments/7w0fhx
Because the drive is encrypted, being able to decrypt it with external software would defeat the purpose of encrypting the drive.
  • The PC must have the same Windows operating system (OS) architecture (32-bit or 64-bit) as Windows Defender Offline. Bootable media created on any version of Windows can be run on any other version of Windows. The only thing that needs to match is the architecture of Windows Defender Offline and the OS of the infected machine.
  • BitLocker must be disabled to use Windows Defender Offline.
 

Alice

Moderatorin
Teammitglied
@all
Dazu hätte ich mal eine Frage.

Wie sieht es aus, wenn der entsprechende PC nicht über ein MS-Account läuft, sondern lokal?
Mein Arbeitsplatz-PC hat Windows 10 Pro und laut Datenträgerverwaltung Bitlocker.
Die bisherigen Defender-Offlinescans sind immer erfolgreich absolviert worden.
Heißt das im Umkehrschluss, der PC ist Bitlocker-fähig jedoch nicht aktiv? :confused:
 

Miine

gehört zum Inventar
Windows Defender Offline geht mit Bitlocker nicht, Bitlocker muss vorher deaktiviert werden. Steht aber auch so in jeder MS Dokumentaion und sonstigen Nachfrage. Also hat sich diese Thematik doch schon erschöpft. Das ist doch der Zweck von Bitlocker, dass sonstige Boot-Möglichkeiten nicht auf die Daten zugreifen können :rolleyes:
Bei meinem Surface Studio gehts mit aktiviertem Bitlocker. Und auf dem Surface Pro ging es ja auch schon mit Bitlocker.

Technisch gesehen: wenn das "richtige" Windows automatisch entsperren kann - was ja irgendwie über den TPM laufen muss - warum sollte das dann Defender Offline nicht können?
Oder genauer - bin da nicht so "bewandert" - wer "entsperrt" eigentlich? Der Bootloader oder Windows selbst?

Andersrum gefragt: wie würde man denn einem Windows 10 das automatische entsperren "beibringen" (bei aktiviertem Bitlocker) und was geschieht dabei "unter der Haube"? Wird da dem TPM bzw. Firmware beigebracht welche Signierte Software (Bootloader, Windows) welchen Key abfragen darf? Oder übergibt das Firmware/UEFI den Key an die signierte Software?

Wenn ich "spasseshalber" bei W10 Bitlocker deaktiviere und sofort wieder aktiviere - muss dann die ganze C Partition neu verschlüsselt werden? Evtl. würde das ja den Key neu setzen und vielleicht dabei den Key für Defender Offline auch noch...

Wo "versteckt" sich eigentlich Defender Offline? Ist das mit auf der Wiederherstellungspartition oder als Image auf C:unsure:

PS: aktivieren von Laufswerkverschlüsselung bei gleichzeitiger Nutzung - da bin ich als Mac-User ein "gebranntes Kind"... . OK - eher selten hat die erstmalige Verschlüsselung aber auch "einfach so" nicht funktioniert.

Edit:
Schön das man schreiben ja mitdenkt und auf neue Gedanken kommt - hier was ich gefunden habe:

laut How to repopulate TPM with BitLocker Recovery Key after a Motherboard replacement

kann man via

Manage-bde -status c:

den Bitlocker Status abfragen, und via

Manage-bde -protectors -delete c: -type TPM
Manage-bde -protectors -add c: -tpm

den Key löschen und wieder setzen.

Jetzt ist die interessante Frage: WO ist Defender Offline "versteckt" und was muss ich als Laufwerksbuchstaben angeben? Die Wiederherstellungspartition kann ich via Datenträgerverwaltung jedenfalls nicht mounten (bzw. Laufwerksbuchstaben zuweisen).

Denn falls sich Defender Offline auf der C: befindet (Image oder so) - delete und add hat leider keinen Erfolg gebracht...
 
Zuletzt bearbeitet von einem Moderator:

.Bernd

gehört zum Inventar
Dein Surface interessiert hier nicht die Bohne. Bei einem PC geht das nun mal nicht, peng aus.

Warum das so ist, kannst du hier nachlesen
 

.Bernd

gehört zum Inventar
Kann ich dir nicht beantworten, ich nutze weder Bitlocker noch ein MS Konto.

Nachtrag - auch Anfang 2020 steht es für Windows 10 geschrieben:

Offline geht nicht mit Bitlocker, weil es der Zugriff von einem externen Medium ist. Aber am besten fragst du mal deinen Admin, ob der da nicht doch was Spezielles zusammengestellt hat.
 
Zuletzt bearbeitet:

Miine

gehört zum Inventar
Dein Surface interessiert hier nicht die Bohne. Bei einem PC geht das nun mal nicht, peng aus.

Ach - meine Surfaces haben den ultra-hyper TPM Chip drin den nur richtige ausgewachsene Arbeits-PCs haben? Genau DAS habe ich ja immer vermutet, denn wer ausser Microsoft kann schon vernünftige PCs bauen? Und die schnuckeligsten sind sie auch noch!!

Warum das so ist, kannst du hier nachlesen
Also auf gut Deutsch: einfach Bitlocker deaktivieren und wieder aktiveren. Hatte ich schon im zweiten Posting befürchtet...

Ist ja echt blöde das es keinen extra Befehl für Defender Offline gibt - bzw. keine offizielle Anleitung. Ausser dem automatischen Entsperren bei Ausführung von Defender Offline funktioniert ja alles bestens.

Wie sieht es aus, wenn der entsprechende PC nicht über ein MS-Account läuft, sondern lokal?
Mein Arbeitsplatz-PC hat Windows 10 Pro und laut Datenträgerverwaltung Bitlocker.
Die bisherigen Defender-Offlinescans sind immer erfolgreich absolviert worden.
Heißt das im Umkehrschluss, der PC ist Bitlocker-fähig jedoch nicht aktiv? :confused:
Der Arbeitsplatz-PC ist sowohl Bitlocker-fähig als auch aktiv (falls kein Surface, dann muss jemand eines reingebaut haben - kleiner Scherz).

Und wird schlichtweg einen TPM Chip drin haben damit Windows Defender Offline die C: Partition entsperren kann.

Kannst Du in der Powershell (als Administrator) via

Manage-bde -status c:

auch nochmals in "umständlich" anzeigen lassen. Da wird dann bestimmt "TPM" unter "Schlüsselschutzvorrichtungen" aufgelistet...
 
Zuletzt bearbeitet:

mh0001

gehört zum Inventar
Das ist doch der Zweck von Bitlocker, dass sonstige Boot-Möglichkeiten nicht auf die Daten zugreifen können :rolleyes:
Pauschal so nicht korrekt. Dafür sind die Recovery Keys von Bitlocker da.

In der Praxis ist es so: Jede Änderung der Booteinträge (z.B. mittels BCDEDIT) des Windows Boot Managers invalidiert die automatische Bitlocker-Freigabe mittels TPM.
Dann erscheint bei einem Neustart die Aufforderung, den Recovery-Key einzugeben. Das tut man dann einfach und das unlocked die Partitionen. Technisch gesehen ist die automatische Freigabe mittels TPM+PIN absolut identisch zum Unlock mittels Recovery-Key. Der Recovery-Key ist auch nicht mehr als ein numerisches Passwort, welches das Laufwerk unlocked. Da wird das Laufwerk weder bei entschlüsselt noch Bitlocker zurückgesetzt. Es ist nur eine Authentifizierungsmethode unter vielen. Der Unterschied ist, dass man selber in die Tasten haut und die lange Ziffernfolge eingibt, und das nicht das TPM für einen erledigen lässt (denn mehr passiert beim TPM-Unlock letztlich auch nicht).

Das Bootmedium von Macrium Reflect hat beispielsweise auch vollen Bitlocker-Support und integriert beim Erstellen desselbigen gleich die Keys in das Bootmedium, damit ohne Eingabe des Recovery-Keys die Reflect-Live-Umgebung gebootet und auf die Laufwerke zugegriffen werden kann.

Was tut Reflect dafür? Es ruft die Bitlocker-Funktion zum Sichern des Recovery-Keys für jede gesicherte Partition auf und hinterlegt diesen in einer txt-Datei auf dem Bootmedium. Beim davon Booten wird dann "manage-bde" mit diesen txt-Dateien als Parameter aufgerufen und die Laufwerke entsperrt.

Das gleiche passiert auch, wenn man in den erweiterten Startoptionen von Windows zur Problembehandlung in eine Eingabeaufforderung booten will. Dadurch werden die Booteinträge auf Windows RE geändert, infolgedessen triggert das auch die Freischaltung mittels Recovery Key. Mit dem Defender Offline-Scan verhält es sich ganz genauso.

Ich habe mir auch schonmal selber manuell einen WinPE-Bootstick gebastelt, wo ich die entsprechenden Commands automatisiert eingebaut habe. Da lässt man einfach beim Start ein Batch-Script laufen, wo man für jede Partition einen Befehl abtickern lässt:

"manage-bde -unlock C: -recoverypassword XXXXXXXXXXXX"
usw. und so fort

Danach verhält sich in der Bootumgebung alles ganz normal und man kann die verschlüsselten Partitionen ganz normal nutzen. Man müsste mal in ein erstelltes Defender Offline - Bootmedium gucken. Wenn das auf WinRE oder WinPE basiert (wovon ich ausgehe), gibt es da eine Batch die dann nach erfolgtem Start auch den Defender-Scan startet. Da könnte man die Aufrufe zum unlocken der Partition davorknallen, dann ginge es automatisiert.

Gibt es eine Möglichkeit "von Hand" den Windows Defender Offline den Key beizubringen? Das Booten in das "normale" Windows funktioniert ohne Probleme - d.h. C Laufwerk wird automatisch freigeschaltet...

Probier mal folgendes: Geh in die Bitlocker-Systemsteuerung, mach "Wiederherstellungsschlüssel sichern" und dann "Auf USB-Speicherstick speichern". Für jede Bitlocker-Partition, und alles auf denselben Stick.
Diesen Stick lässt du dann gesteckt wenn du den Defender Offline-Scan ausführst.

Hintergrund ist, das Bitlocker im Recovery-Modus erstmal alle USB-Sticks abscannt ob da irgendwo der Recovery-Key drauf ist, bevor um manuelle Eingabe gebeten wird.
Genau so behauptet es auch der in dem Microsoft-Forum:
Unable to perform Windows Defender Offline scan with BitLocker - Microsoft Community

Dessen Problem war nur, dass er diesen Stick nachdem ihn Bitlocker fragt, nicht erzeugt hatte vorher:
but when my computer restarts to perform Windows Defender Offline scan, it requires me to use USB with unlock key to unlock the BitLocker encryption and there is no other option for me to choose
Genau diesen USB-Stick produzierst du eigtl. mit der Backup auf USB-Speicherstick Funktion.

Der Nachteil dieser Methode liegt natürlich auf der Hand: Den Stick solltest du am besten am Schlüsselbund tragen und nicht aus der Hand geben, denn damit kann dann jeder dein Bitlocker aufmachen.
 
Zuletzt bearbeitet:

Alice

Moderatorin
Teammitglied
@Miine

Erstmal vielen Dank für deinen Hinweis.

Der Aktivierungsvorgang ist nicht zu Ende geführt worden. Meine Vermutung aus #7 hat sich damit bewahrheit.
Screenshot 2021-01-26 111951 Bitlocker wartet auf Aktivierung.png



Außerdem ist der PC als lokales Konto geführt und nicht über einen MS-Acount, sofern dies für Bitlocker überhaupt relevant ist.
1611662493595.png
 

Miine

gehört zum Inventar
Das gleiche passiert auch, wenn man in den erweiterten Startoptionen von Windows zur Problembehandlung in eine Eingabeaufforderung booten will. Dadurch werden die Booteinträge auf Windows RE geändert, infolgedessen triggert das auch die Freischaltung mittels Recovery Key. Mit dem Defender Offline-Scan verhält es sich ganz genauso.

Ich habe mir auch schonmal selber manuell einen WinPE-Bootstick gebastelt, wo ich die entsprechenden Commands automatisiert eingebaut habe. Da lässt man einfach beim Start ein Batch-Script laufen, wo man für jede Partition einen Befehl abtickern lässt:

"manage-bde -unlock C: -recoverypassword XXXXXXXXXXXX"
usw. und so fort
Wenn ich das richtig verstehe - dann würde die Partition wo Defender Offline drauf ist mit Bitlocker verschlüsselt sein und via TPM entschlüsselt. Die Entschlüsselung im Defender Offline von C: würde dann via Script erfolgen.

Somit würde Defender Offline versuchen C: zu entsperren was aber nicht funktioniert weil aus irgendeinem Grund das Password etc. nicht mehr stimmt....

Der Nachteil dieser Methode liegt natürlich auf der Hand: Den Stick solltest du am besten am Schlüsselbund tragen und nicht aus der Hand geben, denn damit kann dann jeder dein Bitlocker aufmachen.
Danke für den Hinweis - auf die Idee bin ich noch nicht gekommen. Muss mir mal überlegen ob ich das wirklich will.

Denn der Vorteil von einem Defender Offline der "ohne" funktioniert ist ja das man auch unterwegs ihn einfach mal im Zweifelsfall benutzen kann ohne Angst zu haben das jemand den Key "abgreift".

Werde wohl erstmal ausprobieren ob Windows das Problem selbst beseitigen kann indem man Bitlocker auf C: deaktiviert und wieder aktiviert...

Wenn das keinen Erfolg bringt - mal schauen ob es mir "wert" ist da mehr Zeit reinzustecken. Obwohl - "Erkenntnisgewinn" wie denn das nun wirklich funktioniert mit dem Windows booten und Defender offline wäre ja auch was. Zumal der früher mal ein nettes GUI gezeigt hat und nun nur noch ein schnöde Terminal-Fenster...

Vielleicht könnte man bei der "ändere das Script"-Variante sogar noch den grössten Nachteil von Defender Offline fixen - der beendet sich zu schnell. Als Benutzer kann man garnicht sehen ob der was gefunden hat oder nicht. Eine halbe Minute "mehr" könnte da nicht schaden...
 

mh0001

gehört zum Inventar
Werde wohl erstmal ausprobieren ob Windows das Problem selbst beseitigen kann indem man Bitlocker auf C: deaktiviert und wieder aktiviert...
Aber bitte nicht wirklich gleich "deaktivieren"! Das entschlüsselt ja direkt Alles, das sollte in jedem Fall vollkommen unnötig sein!!

"Schutz anhalten" bzw. Bitlocker pausieren ist wenn dann das einzig Sinnvolle! Dabei bleiben die Daten an sich vollständig verschlüsselt, es wird nur ein extra Schlüssel erzeugt und in den Metadaten der verschlüsselten Partition hinterlegt, mit dem diese automatisch aufgeschlossen wird. In Standardeinstellung überlebt die Pausierung genau einen Neustart, danach wird Bitlocker wieder "scharf gestellt".
Das müsste dann eigtl. auch mit dem Defender Offline funktionieren (wobei ich mich dann frage, warum das nicht automatisch einfach passiert).
 

Miine

gehört zum Inventar
Aber bitte nicht wirklich gleich "deaktivieren"! Das entschlüsselt ja direkt Alles, das sollte in jedem Fall vollkommen unnötig sein!!
Ich musste ja Bitlocker in W10 selbst aktivieren - sprich mit dieser Aktivierung hat Windows dann Defender Offline beigebracht die C: Partition entsperren zu können.

Meine Idee war es nun das wenn man diese Aktivierung wiederholt (nachdem Bitlocker vorher deaktiviert wurde) das dies dann wieder geschieht...

Weil wenn der Defender Offline nicht gestartet wird ein Angreifer zugriff auf die Partition hätte weil er ja nur sich den extra Schlüssel holen muss? In Datacenter-Szenarien evtl. nicht das was der Kunde will...

Da ich das "Datacenter" bin und das Surface Pro "hoste" - das Risiko könnte ich auf mich nehmen :)

Wären dann ein paar Klicks mehr als nötig - aber immer noch besser als ein USB-Stick oder den Recovery-Key von Hand einzugeben..
 
Zuletzt bearbeitet von einem Moderator:

Miine

gehört zum Inventar
Der "Workaround" in der Bitdefender Verwaltung "Schutz anhalten" und dann den Defender Offline starten funktioniert!

Ist das bequem im Vergleich mit der Schlüsseleingabe via Touchscreen... (y)

Gehe ich richtig in der Annahme das alles was während der Schutz angehalten ist und geschrieben wurde nach dem Start in Windows 10 dann nachträglich verschlüsselt wird? Der Schutz ist zumindest wieder am laufen...

Wenn ich zuviel Zeit und Muse habe werde ich mal schauen was passiert wenn man C: komplett entschlüsselt und wieder Bitlocker aktiviert. Vielleicht repariert da Windows 10 seinen Defender Offline selbst - schlau wäre das ja schon :D
 
Zuletzt bearbeitet:
Status
Dieses Thema wurde gelöst! Lösung ansehen…
Oben